Comment justifier la sécurité du cryptage post quantique?

9

Existe-t-il une définition ou un théorème sur ce qu'un ordinateur quantique peut réaliser à partir duquel des schémas cryptographiques post-quantiques (par exemple, la cryptographie sur réseau, mais pas la cryptographie quantique) peuvent justifier leur sécurité? Je sais que la fonction de recherche de période est capable de casser RSA et les journaux discrets, mais est-ce le seul algorithme pertinent pour casser les schémas de chiffrement? Puis-je dire que si un schéma n'est pas sensible à la fonction de recherche de période, il n'est pas sensible à l'informatique quantique? Sinon, existe-t-il une autre déclaration similaire de la forme "si un schéma de chiffrement ne peut pas être rompu par l'algorithme X, il ne peut pas être rompu par l'informatique quantique"?

Par exemple, est-il suffisant de prouver qu'un schéma de chiffrement ne peut être rompu qu'en essayant toutes les clés possibles, et le mieux que l'informatique quantique puisse faire à cet égard est le temps de recherche de racine carrée avec l'algorithme de Grover?

cryptography 
Joseph Johnston
source
1
Vous m'avez inspiré pour poser cette question.
user1271772
Connexes: crypto.stackexchange.com/questions/30055/… . En bref: la plupart des crypto-systèmes sont sécurisés en supposant qu'un problème est «difficile». Cependant, la dureté de ce problème est généralement basée davantage sur des arguments empiriques (par exemple, «nous ne savons pas comment résoudre ce problème»), plutôt que sur des arguments théoriques de la théorie de la complexité de calcul.
Lézard discret

Réponses:

5

C'est essentiellement le domaine des classes de complexité de calcul. Par exemple, la classe BQP peut être grossièrement décrite comme l'ensemble de tous les problèmes qui peuvent être résolus efficacement sur un ordinateur quantique. La difficulté avec les classes de complexité est qu'il est difficile de prouver les séparations entre plusieurs classes, c'est-à-dire l'existence de problèmes qui sont dans une classe mais pas dans une autre.

En un sens, il suffit de pouvoir dire "si cet algorithme quantique ne peut pas le casser, il est sûr", il suffit d'utiliser le bon algorithme. Vous avez besoin d'un algorithme complet BQP tel que trouver les racines du polynôme de Jones - tout algorithme quantique peut être converti en instance d'un algorithme complet BQP. Cependant, la façon dont cet algorithme pourrait être utilisé pour la fissuration est complètement floue et non triviale. Il ne suffit pas de voir que vous ne pouvez pas directement utiliser les choses par force brute. Donc, cette approche n'est probablement pas si utile.

Que voulons-nous d'un scénario de cryptographie post-quantique? Nous avons besoin:

  • y=f(x)
  • f1(y)
  • zg(y,z)=xf(x)z

Cette dernière puce est (essentiellement) la définition de la classe de complexité NP: les problèmes pour lesquels il peut être difficile de trouver une solution, mais pour lesquels une solution est facilement vérifiée lorsqu'on lui donne une preuve (correspondant à la clé privée dans notre cas) .

La subtilité supplémentaire qui complique les choses, cependant, est à peu près (je ne suis pas un expert) que les classes de complexité parlent de la complexité du pire des cas, c'est-à-dire pour une taille de problème donnée, c'est à quel point l'instance la plus difficile possible du problème est difficile. Mais il ne pourrait y avoir qu'une seule instance de problème, ce qui signifierait que si nous corrigions la taille du problème (comme c'est le cas, par exemple, vous pourriez parler de 1024 bits RSA; les 1024 bits sont la taille du problème), il n'y aurait qu'une seule clé privée. Si nous le savons, un espion peut simplement utiliser cette clé privée pour décrypter les messages. Donc, nous avons réellement besoin que ce raisonnement de complexité de calcul s'applique à une grande partie des entrées possibles. Cela vous fait entrer dans le monde de la complexité moyenne des cas où, si je comprends bien, il devient beaucoup plus difficile de faire de telles déclarations.

Cela peut aider à faire une comparaison avec RSA, un système cryptographique à clé publique, et ignorer l'existence d'ordinateurs quantiques. Elle est basée sur la difficulté de factoriser de grands nombres composites. Ce problème n'est pas (supposé être) en P, donc il est difficile pour un pirate avec un ordinateur classique de trouver la réponse. Pendant ce temps, il est en NP car la solution est facilement vérifiée (si on vous donne un facteur, vous pouvez facilement vérifier que c'est un facteur). Cela signifie qu'il peut être déchiffré à l'aide d'un ordinateur classique par le destinataire légitime.

DaftWullie
source
4

Existe-t-il une définition ou un théorème sur ce qu'un ordinateur quantique peut réaliser à partir duquel des schémas cryptographiques post quantiques (par exemple, la cryptographie sur réseau, mais pas la cryptographie quantique) peuvent justifier leur sécurité?

Non. Ce n'est pas parce que votre schéma cryptographique post-quantique fonctionne aujourd'hui que Peter Shor ne trouvera pas d'algorithme quantique pour le briser demain. "

Je sais que la fonction de recherche de période est capable de casser RSA et les journaux discrets, mais est-ce le seul algorithme pertinent pour casser les schémas de chiffrement?

Non. Un exemple d'un autre algorithme est l'algorithme de Grover, qui est pertinent pour briser les cryptosystèmes basés sur le problème du logarithme transcendantal .

Puis-je dire que si un schéma n'est pas sensible à la fonction de recherche de période, il n'est pas sensible à l'informatique quantique?

Non. Les schémas basés sur le problème du logarithme transcendantal ne sont pas sensibles à la découverte de période, mais sont susceptibles d'accélérations quantiques améliorées.

Sinon, existe-t-il une autre déclaration similaire de la forme "si un schéma de chiffrement ne peut pas être rompu par l'algorithme X, il ne peut pas être rompu par l'informatique quantique"?

Non. Nous ne connaissons pas tous les algorithmes quantiques qui existent. Même si un schéma résiste à la recherche de période et à l'algorithme de Grover, il pourrait être possible d'utiliser des ordinateurs quantiques pour le casser plus efficacement que les ordinateurs classiques. Nous devrons peut-être simplement intéresser suffisamment Peter Shor pour trouver un schéma de décryptage amélioré quantique.

Est-il suffisant de prouver qu'un schéma de chiffrement ne peut être rompu qu'en essayant toutes les clés possibles, et le mieux que l'informatique quantique puisse faire à cet égard est le temps de recherche de racine carrée avec l'algorithme de Grover?

Non. Ce n'est pas parce qu'un ordinateur classique ne peut pas casser votre schéma qu'en essayant toutes les clés possibles, qu'un ordinateur quantique ne le peut pas.

Voici une question qui a une réponse oui :

Que pouvons-nous faire pour prouver qu'un schéma de cryptage est sûr contre les ordinateurs quantiques?

Réponse: Prouvez que le décryptage du code est un problème QMA complet ou QMA difficile. Les problèmes difficiles QMA sont des problèmes qui sont difficiles pour les ordinateurs quantiques, tout comme les problèmes difficiles NP sont difficiles pour les ordinateurs classiques.

Cela m'a inspiré à poser cette question, dont je ne connais pas la réponse!

user1271772
source
Très succinct et précis, surtout avec votre question en gras. J'ai également appris de la question connexe que vous avez posée. Mais pour des informations supplémentaires et une clarification des classes de complexité pertinentes, j'ai accepté l'autre réponse.
Joseph Johnston
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.